实验拓扑:

访问控制实验_第1张图片

 

 

实验要求:
1 如图R1,R2,R3。所示网段如图。R2 为企业边缘路由器,为了内网的安全需要有以下安全策略。
2 R2 能够telnet 到R3 的任意网段,但是R3 不能使用211.16.23.3 telnet 回R2,而使用210地址则可以。
3 拒绝所有通过R2 到R3 的追踪,但是需要保证R1 追踪R3 是能够正常工作,而反之则不行。
4 为了防止欺骗***,需要在边界路由器布置访问策略,按照RFC1918,和RFC2827 的知道思想来做。
5 安全策略不应该影响基本的连通性,网络中使用OSPF 协议。由于公司下午5 点以后不需要业务流通,希望5 点以后网络的流量不能进入到网络内。


实验过程:
R1(config)#int e0/0
R1(config-if)#ip add 212.16.12.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#exit
R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 212.16.12.0 0.0.0.255 a 0
R1(config-router)#exit


R2(config)#int e0/0
R2(config-if)#ip add 212.16.12.2 255.255.255.0
R2(config-if)#no shu
R2(config-if)#exit
R2(config)#int e0/1
R2(config-if)#ip add 211.16.23.2 255.255.255.0
R2(config-if)#no shu
R2(config-if)#exit
R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2
R2(config-router)#net 212.16.12.0 0.0.0.255 a 0
R2(config-router)#net 211.16.23.0 0.0.0.255 a 0

R3(config)#int e0/1
R3(config-if)#ip add 211.16.23.3 255.255.255.0
R3(config-if)#no shu
R3(config-if)#exit
R3(config)#int loop 0
R3(config-if)#ip add 210.10.10.10 255.255.255.0
R3(config-if)#no shu
R3(config-if)#exit
R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#net 211.16.23.0 0.0.0.255 a 0
R3(config-router)#net 210.10.10.0 0.0.0.255 a 0


第二步的过程
R2(config)#ip access-list extended D_TEL
R2(config-ext-nacl)#deny tcp host 211.16.23.3 host 211.16.23.2 eq 23
R2(config-ext-nacl)#deny tcp host 211.16.23.3 host 212.16.12.2 eq telnet
R2(config-ext-nacl)#permit ip any any
R2(config)#int e0/1
R2(config-if)#ip access-group D_TEL in

访问控制实验_第2张图片

 

访问控制实验_第3张图片

 

 

第三步的过程

拒绝 R2 到R3 的traceroute
R2(config)#ip access-list extended D_TRA
R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 unreachable
R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 time-exceeded
R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 time-exceeded
R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 unreachable
R2(config-ext-nacl)#permit ip any any

拒绝 R3 到R1 的traceroute
R2(config)#ip access-list extended D_TRA2
R2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 time-exceeded
R2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 unreachable
R2(config-ext-nacl)#permit ip any any
R2(config)#int e0/0
R2(config-if)#ip access-group D_TAR2 in
R2(config)#int e0/1
R2(config-if)#ip access-group D_TRA in

实验效果截图

访问控制实验_第4张图片

 

访问控制实验_第5张图片

 

访问控制实验_第6张图片

 

 

第四步的过程

NOTE:(RFC1918 规定的私有IP,RFC2827 规定的是内网已经使用的IP)
R2(config)#ip access-list extended D_RFC1918
R2(config-ext-nacl)#remark RFC1918
R2(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any
R2(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any
R2(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any
R2(config-ext-nacl)# permit ip any any
R2(config)#int e0/1
R2(config-if)#ip access-group D_RFC1918 in
R2(config)#ip access-list extended D_RFC2827
R2(config-ext-nacl)#deny ip 212.16.12.0 0.0.0.255 any
R2(config-ext-nacl)#permit ip any any
R2(config)#int e0/1
R2(config-if)#ip access-group RFC2827 in


第五步的过程
R2(config)#time-range DENY
R2(config-time-range)#periodic daily 17:00 to 23:59
R2(config-time-range)#periodic daily 00:00 to 08:00
R2(config)#access-list 101 deny ip any any time-range DENY
R2(config)#int e0/1
R2(config-if)#ip access-group 101 in


实验效果截图:
我们现在来把时间修改到18:00
R2#clock set 18:00:00 oct 12 2013

 

时间修改后OSPF 邻居自动DOWN。

 

访问控制实验_第7张图片

 

访问控制实验_第8张图片